您好!
我们正在自托管 Discourse,并且根据公司的要求,我们正在运行代码扫描。我们发现了很多漏洞……向 HackerOne 报告我们发现的每一个问题都不是最实际的方法。您有什么建议吗?
1 个赞
From discourse/docs/SECURITY.md at main · discourse/discourse · GitHub
我应该在哪里报告安全问题?
为了给社区留出响应和升级的时间,我们强烈建议您私下报告所有安全问题。请使用我们在 Hacker One 上的漏洞披露计划提供详细信息和重现步骤,我们将尽快回复。如果您无法使用 Hacker One,请直接发送电子邮件至
team@discourse.org并提供详细信息和重现步骤。安全问题始终优先于错误修复和功能开发。如果发布版本包含重要的安全修复,我们可以并且确实会将其标记为“紧急”。**请注意:**由于通过电子邮件发送了大量低质量的安全报告,除非报告来自可信来源,并包含漏洞的详细信息和重现步骤,否则我们不太可能对通过电子邮件发送的安全报告采取行动。不接受没有概念验证的理论性报告。我们强烈建议您遵循 Hacker One 的提交协议。
4 个赞
现成工具的扫描会产生大量的误报,没有人想浪费时间在这上面。
如果您发现了实际问题,请通过我们的 Hacker One 页面进行报告,该页面主要用于验证每份报告并确保其并非无效。
15 个赞